派拓网络:基于风险的IoT、OT和MIoT设备漏洞优先级排序方法
【慧聪通信网】在当今的威胁形势下,漏洞数量成倍增长,给网络和安全团队在确定修复工作的优先级和实现业务价值最大化方面带来了巨大挑战。公开数据显示,仅2023年就有近2.9万个常见漏洞(CVE)被披露,较前一年的CVE数量增长了15%。
在部署工业和医疗设备的关键基础设施环境中,维持关键任务系统的正常运行以及确保患者护理和安全对于运营技术(OT)、生物医学和网络安全团队至关重要。影响物联网(IoT)、OT和医疗物联网(MIoT)资产的CVE数量在不断增加,不仅给这些团队带来了巨大的压力,还妨碍了他们修复严重影响业务持续运营的风险。
基于风险的漏洞管理
许多企业一直在使用通用漏洞评分系统(CVSS),通过这一评估网络安全漏洞特征和严重性的行业标准来确定漏洞修复的优先级。
自2005年发布以来,CVSS已经过三次重大修订,加入了更加准确反映漏洞严重性的指标和评分标准。通过这三次修订,该标准使得考虑具体漏洞的上下文关系在评估其风险方面起到重要作用。虽然使用了 “时间 ”和 “环境 ”指标组解决这一问题,但它们反映的特征随时间变化并且是个别企业所特有的,因此属于“可选”指标。另外,这些指标需要进行人工评估,增加了企业的开销并消耗了大量的时间和资源。由此可见,CVSS并未真正超出基础指标的范围。
如果企业仅依靠CVSS基础分数确定优先级,可能导致他们未能将重点放在真正关键的事项上。一个CVSS基础分数很高的CVE被攻击者利用的可能性或许很低,或者只影响企业中不太重要的资产,例如:运行关键工业控制系统的PLC中的漏洞对企业造成的业务影响可能高于一个微不足道的测试实验室中的漏洞。
尤其是对于关键的OT和医疗健康环境,系统正常运行时间和患者安全是决定性的指标,因此采用更好的漏洞优先级排序方法更为重要。在安装补丁时,需要不同团队提供资源和进行协调,有时还需要外部承包商/原设备制造商配合确定补丁的优先级、测试补丁和规划维护窗口。在许多情况下,维护窗口由于会影响关键运营并且可能需要设备长时间停机,因此很难确保安全。在进行全部这些工作的同时,先处理优先级较低的漏洞不仅会导致资源分配不合理,还可能暴露企业最关键的基础设施,造成运营、财务与合规方面的重大损失。
派拓网络认为更有效的漏洞优先级排序方法应评估漏洞带来的风险,不仅要考虑其严重程度,还要考虑当前的威胁形势和脆弱资产的上下文关系。这种考虑上下文关系的方法应能够灵活适应与企业环境相关的独特因素(类似于在“时间/威胁”和“环境”指标组中定义的因素),并自动提供优先级排序的相关洞察,以便更快采取有力的漏洞响应措施。这便是派拓网络基于风险的漏洞管理方法所起到的作用。
推出基于风险的漏洞管理方法
派拓网络很高兴宣布,在我们的企业IoT/工业OT/ MIoT安全解决方案中加入基于风险的漏洞管理功能,这项最新功能将解决许多企业因漏洞数量成倍增长而面临的漏洞优先级排序难题。
派拓网络的解决方案结合漏洞指标与威胁和资产的深入上下文关系,在对每个漏洞进行风险评估的同时自动进行计算,不仅减少运营开销,还加快了大规模的漏洞响应。漏洞按照风险程度分级,根据优先级可识别和筛选客户环境中存在实际风险的CVE。
事实上,派拓网络的美国客户群已经采用了这种基于风险的漏洞优先级排序方法,结果显示该方法能够将漏洞噪声降低90%。平均只有10%的关键严重性CVE(CVSS分数)被列为最高优先级,这有助于区分真正有风险的CVE与其他不太会构成重大风险的CVE。
派拓网络的优先级排序方法不仅有助于减少CVE负载,还能指出那些虽然CVSS基础分数较低,但潜在风险比高分CVE更大的CVE。若仅采用CVSS基础分数作为优先级排序的依据,这些CVE可能会被忽略。
总结
基于风险的漏洞优先级排序方法是派拓网络IoT/OT/ MIoT安全解决方案中的众多创新之一。该方法在帮助企业保护各种设备安全的同时,大大优化了运营。这些解决方案提供的零信任架构功能全面,使企业能够快速发现每台设备、了解它们的攻击面、确定风险缓解工作的优先级,并通过上下文丰富的安全策略建议和漏洞威胁签名,保护难以安装补丁的脆弱IoT、OT和MIoT设备,阻止利用漏洞的企图。